화웨이 보안 영국 문제는 보안 코딩의 필요성을 보여줍니다

게시일: 2019년 6월 6일
작성자: 피터 댄히외
사례 연구

화웨이 보안 영국 문제는 보안 코딩의 필요성을 보여줍니다

게시일: 2019년 6월 6일
작성자: 피터 댄히외
리소스 보기
리소스 보기

원래 정보 시대에게시. 이것은 윈드 리버 시스템 주변의 위치 지정을 수정하는 업데이트 된 버전입니다.

영국의 화웨이 사이버 보안 평가 센터의 최근 보고서는 화웨이의 소프트웨어 엔지니어링 프로세스 내에서 주요 보안 문제를 확인했습니다. 이 중요한 보고서에 대한 뉴스의 대부분은 전년도의 해결되지 않은 문제에 초점을 맞추고 있지만, 더 위험하고 간과 문제는 화웨이에 의해 사용되는 보안 코딩 지침과 관행의 명확한 부족이다. 그러나 그것은 해결할 수있는 문제입니다.

중국 통신 거대 화웨이의 소식은 점점 더 악화되고 있습니다. 미국은 미래의 정부 업무에서 회사를 완전히 금지했지만, 영국은 화웨이의 장치와 코드의 많은 근본적인 결함이 고칠 수 있다는 사실을 더 받아들이고 있습니다. 영국은 2010년 화웨이 제품의 보안 문제를 평가하고 해결하기 위해 화웨이 사이버 보안 평가 센터(HCSEC)를 설립하고 이에 대한 연례 보고서를 작성했습니다. 그러나, 올해 보고서는 특히 저주했다.

뉴스의 2019 HCSEC 보고서에 초점의 대부분은 전년도의 거의 보안 결함이 해결되지 않은 사실과 관련이있다. 여기에는 윈드 리버의 이전 버전의 VxWorks 실시간 운영 체제를 사용하여 곧 수명이 다될 것입니다. Huawei는 이러한 문제를 해결하겠다고 약속했지만 (그리고 윈드 리버 시스템즈로부터 지속적인 지원을 받을 것)이지만 영국의 통신 인프라 의 상당 부분의 핵심 구성 요소로 남아 있습니다.

대부분의 주류 언론이 간과한 것으로 보이는 중요한 요소는 회사의 새로운 소프트웨어 및 하드웨어 개발 및 배포 에 존재하는 근본적으로 깨진 프로세스가 될 수 있는 것에 해당합니다. 보고서는 화웨이가 내부 엔지니어링 방법을 처리하는 방식에 대해 "중요한 기술적 문제"라고 지적했다.

보고서에 설명된 기술 적 문제의 몇 가지 예를 살펴보겠습니다. Huawei가 한 가장 좋은 일 중 하나는 엔지니어와 프로그래머가 새로운 코드를 배포할 수 있도록 안전한 코딩 지침을 만드는 것이었습니다. 이러한 지침은 신뢰할 수 있는 라이브러리의 알려진 안전한 버전의 시스템 기능 및 프로세스를 사용하는 것과 같이 알려진 취약점이 있는 변형이 아닌 광범위한 모범 사례를 다룹니다. 그것은 이론적으로 좋은 일이지만, 영국의 화웨이 생산 시스템의 실제 평가는 이러한 지침이 프로그래머에게 전달되지 않았거나, 그들에 의해 무시되거나 단순히 시행되지 않는다는 것을 발견했습니다.

보고서는 공개 응용 프로그램 내에서 특정 메모리 처리 기능을 살펴보았는데, 이 경우 사용자가 프로그램의 함수로 초대된 메시지 보드 집합이 입력을 추가했습니다. 사용자 입력 영역을 "신뢰할 수 있는" 것으로 취급해서는 안 된다는 점을 감안할 때, Huawei 내부 지침에 따라 해당 영역에는 보안 코드만 포함될 것으로 예상되었습니다. 특히 테스터는 1988년부터 버퍼 오버플로와 같은 심각한 보안 문제로 인해 발생할 수 있는 것으로 알려진 생산 시스템 내에서 메모리 처리 기능 memcpy(), strcpy() 및 스프린트(sprintf)를 직접 호출하는 것을 살펴보았습니다.

놀랍게도, 알려진 17개의 안전한 memcpy() 기능의 5,000건의 직접 호출이 있었지만, 12개의 안전하지 않은 변종의 600가지 사용도 있었습니다. 그것은 다른 함수와 거의 동일한 비율이었다. 1,400개의 안전한 strcpy() 호출이 있었지만 알려진 취약점이 있는 400개의 나쁜 작업도 있었습니다. 그리고 2,000개의 안전한 스프린트 사용()이 200개의 안전하지 않은 것과 비교하여 발견되었습니다. 이러한 함수의 사용 대부분이 안전하다는 것은 좋지만 전체 코드의 약 20%가 알려진 공격에 취약합니다. 이는 거대한 위협 표면 공격 영역이며 기능 포인터를 통해 간접적으로 사용하는 인스턴스가 아니라 세 가지 메모리 처리 함수를 직접 호출하는 것만 고려합니다. 감사원은 이러한 특정 기능만 보았지만 선택한 세 가지 메모리 처리 함수가 문제가 있는 유일한 함수는 거의 없습니다.

Huawei가 프로그래머를 위한 모범 사례 가이드를 만든 것은 좋지만 더 많은 작업을 수행해야 한다는 것은 분명합니다. 보안 기대치를 설명하는 한 단계이지만 이러한 지침을 적극적으로 따르고 개발 코호트에 익숙한 경우에만 효과적입니다. Huawei는 프로그래머를 효과적으로 교육하기 위해 노력함으로써 보안을 개선하는 데 상당한 진전을 이룰 수 있으며 내부 화웨이 지침을 따르는 방법에 대한 기본 을 건너 뛰는 것이 아닙니다. 일반적으로 보다 안전하게 코딩하는 방법을 입증하는 데 추가적인 도약을 해야 합니다. 코더는 좋은 (보안) 및 나쁜 (안전하지 않은) 코딩 패턴에 충분히 훈련되어야하며 회사가 설교하는 것을 연습 할 책임이 있습니다.

HCSEC 보고서에 설명된 많은 특정 코딩 문제가 해결되고 적용됩니다. Secure Code Warrior 프로그래머와 사이버 보안 팀이 항상 보안 코드를 배포하고 유지 관리하도록 훈련하는 플랫폼입니다. 사용자 입력을 신뢰하지 않고, 항상 기존 라이브러리에서 기능을 가져오고, 모든 입력을 서버로 전달하기 전에 모든 입력을 삭제하고, 다른 많은 안전 코딩 관행과 같은 개념은 플랫폼 내에서 지속적으로 입증됩니다. 또한 매우 구체적인 취약점과 쇼를 단계별로 살펴보고 이를 방지하고 완화하는 방법을 살펴봅니다.

숙련된 교육 외에도 화웨이와 같은 기업들은 DevSecOps 솔루션을 활용할 수 있습니다.  IDE에서 직접 실시간 코칭을 추가하여 회사의 보안 지침에 맞게 사용자 정의 된 보안 코딩 레시피를 활용하여 코드를 작성할 때 "주방"이라는 코딩에서 개발자의 수 셰프 역할을합니다. 이러한 접근 방식은 모든 기술 수준의 화웨이 프로그래머가 더 나은 코드를 작성하고 잠재적인 취약점을 인식하는 동시에 화웨이의 보안 전문가가 정책을 준수하고 명령을 실행하는 데 도움이되는 "요리 책'을 만들 수 있도록 도울 수 있습니다.

Huawei의 문제에서 핵심 교훈은 프로그래머가 그들에 대해 알지 못하거나 단순히 좋은 코딩 관행을 따르는 방법을 모르는 경우 보안 코딩 지침을 만드는 것은 의미가 없다는 것입니다. 이 경우 내부 모범 사례 지침은 화웨이의 zhilaohu로 밝혀졌습니다. 서방이"종이 호랑이"라고부르는 것. 그것은 스타일이 많은 문서였지만 물질은 없었습니다. 실제 치아를 제공하려면 올바른 실용적인 도구와 실제 교육 프로그램이 필요하며, 이는 실습 적인 접근 방식을 취하고 지속적인 지식과 기술을 구축합니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

화웨이 보안 영국 문제는 보안 코딩의 필요성을 보여줍니다

게시일: 2024년 1월 22일
By 피터 댄히외

원래 정보 시대에게시. 이것은 윈드 리버 시스템 주변의 위치 지정을 수정하는 업데이트 된 버전입니다.

영국의 화웨이 사이버 보안 평가 센터의 최근 보고서는 화웨이의 소프트웨어 엔지니어링 프로세스 내에서 주요 보안 문제를 확인했습니다. 이 중요한 보고서에 대한 뉴스의 대부분은 전년도의 해결되지 않은 문제에 초점을 맞추고 있지만, 더 위험하고 간과 문제는 화웨이에 의해 사용되는 보안 코딩 지침과 관행의 명확한 부족이다. 그러나 그것은 해결할 수있는 문제입니다.

중국 통신 거대 화웨이의 소식은 점점 더 악화되고 있습니다. 미국은 미래의 정부 업무에서 회사를 완전히 금지했지만, 영국은 화웨이의 장치와 코드의 많은 근본적인 결함이 고칠 수 있다는 사실을 더 받아들이고 있습니다. 영국은 2010년 화웨이 제품의 보안 문제를 평가하고 해결하기 위해 화웨이 사이버 보안 평가 센터(HCSEC)를 설립하고 이에 대한 연례 보고서를 작성했습니다. 그러나, 올해 보고서는 특히 저주했다.

뉴스의 2019 HCSEC 보고서에 초점의 대부분은 전년도의 거의 보안 결함이 해결되지 않은 사실과 관련이있다. 여기에는 윈드 리버의 이전 버전의 VxWorks 실시간 운영 체제를 사용하여 곧 수명이 다될 것입니다. Huawei는 이러한 문제를 해결하겠다고 약속했지만 (그리고 윈드 리버 시스템즈로부터 지속적인 지원을 받을 것)이지만 영국의 통신 인프라 의 상당 부분의 핵심 구성 요소로 남아 있습니다.

대부분의 주류 언론이 간과한 것으로 보이는 중요한 요소는 회사의 새로운 소프트웨어 및 하드웨어 개발 및 배포 에 존재하는 근본적으로 깨진 프로세스가 될 수 있는 것에 해당합니다. 보고서는 화웨이가 내부 엔지니어링 방법을 처리하는 방식에 대해 "중요한 기술적 문제"라고 지적했다.

보고서에 설명된 기술 적 문제의 몇 가지 예를 살펴보겠습니다. Huawei가 한 가장 좋은 일 중 하나는 엔지니어와 프로그래머가 새로운 코드를 배포할 수 있도록 안전한 코딩 지침을 만드는 것이었습니다. 이러한 지침은 신뢰할 수 있는 라이브러리의 알려진 안전한 버전의 시스템 기능 및 프로세스를 사용하는 것과 같이 알려진 취약점이 있는 변형이 아닌 광범위한 모범 사례를 다룹니다. 그것은 이론적으로 좋은 일이지만, 영국의 화웨이 생산 시스템의 실제 평가는 이러한 지침이 프로그래머에게 전달되지 않았거나, 그들에 의해 무시되거나 단순히 시행되지 않는다는 것을 발견했습니다.

보고서는 공개 응용 프로그램 내에서 특정 메모리 처리 기능을 살펴보았는데, 이 경우 사용자가 프로그램의 함수로 초대된 메시지 보드 집합이 입력을 추가했습니다. 사용자 입력 영역을 "신뢰할 수 있는" 것으로 취급해서는 안 된다는 점을 감안할 때, Huawei 내부 지침에 따라 해당 영역에는 보안 코드만 포함될 것으로 예상되었습니다. 특히 테스터는 1988년부터 버퍼 오버플로와 같은 심각한 보안 문제로 인해 발생할 수 있는 것으로 알려진 생산 시스템 내에서 메모리 처리 기능 memcpy(), strcpy() 및 스프린트(sprintf)를 직접 호출하는 것을 살펴보았습니다.

놀랍게도, 알려진 17개의 안전한 memcpy() 기능의 5,000건의 직접 호출이 있었지만, 12개의 안전하지 않은 변종의 600가지 사용도 있었습니다. 그것은 다른 함수와 거의 동일한 비율이었다. 1,400개의 안전한 strcpy() 호출이 있었지만 알려진 취약점이 있는 400개의 나쁜 작업도 있었습니다. 그리고 2,000개의 안전한 스프린트 사용()이 200개의 안전하지 않은 것과 비교하여 발견되었습니다. 이러한 함수의 사용 대부분이 안전하다는 것은 좋지만 전체 코드의 약 20%가 알려진 공격에 취약합니다. 이는 거대한 위협 표면 공격 영역이며 기능 포인터를 통해 간접적으로 사용하는 인스턴스가 아니라 세 가지 메모리 처리 함수를 직접 호출하는 것만 고려합니다. 감사원은 이러한 특정 기능만 보았지만 선택한 세 가지 메모리 처리 함수가 문제가 있는 유일한 함수는 거의 없습니다.

Huawei가 프로그래머를 위한 모범 사례 가이드를 만든 것은 좋지만 더 많은 작업을 수행해야 한다는 것은 분명합니다. 보안 기대치를 설명하는 한 단계이지만 이러한 지침을 적극적으로 따르고 개발 코호트에 익숙한 경우에만 효과적입니다. Huawei는 프로그래머를 효과적으로 교육하기 위해 노력함으로써 보안을 개선하는 데 상당한 진전을 이룰 수 있으며 내부 화웨이 지침을 따르는 방법에 대한 기본 을 건너 뛰는 것이 아닙니다. 일반적으로 보다 안전하게 코딩하는 방법을 입증하는 데 추가적인 도약을 해야 합니다. 코더는 좋은 (보안) 및 나쁜 (안전하지 않은) 코딩 패턴에 충분히 훈련되어야하며 회사가 설교하는 것을 연습 할 책임이 있습니다.

HCSEC 보고서에 설명된 많은 특정 코딩 문제가 해결되고 적용됩니다. Secure Code Warrior 프로그래머와 사이버 보안 팀이 항상 보안 코드를 배포하고 유지 관리하도록 훈련하는 플랫폼입니다. 사용자 입력을 신뢰하지 않고, 항상 기존 라이브러리에서 기능을 가져오고, 모든 입력을 서버로 전달하기 전에 모든 입력을 삭제하고, 다른 많은 안전 코딩 관행과 같은 개념은 플랫폼 내에서 지속적으로 입증됩니다. 또한 매우 구체적인 취약점과 쇼를 단계별로 살펴보고 이를 방지하고 완화하는 방법을 살펴봅니다.

숙련된 교육 외에도 화웨이와 같은 기업들은 DevSecOps 솔루션을 활용할 수 있습니다.  IDE에서 직접 실시간 코칭을 추가하여 회사의 보안 지침에 맞게 사용자 정의 된 보안 코딩 레시피를 활용하여 코드를 작성할 때 "주방"이라는 코딩에서 개발자의 수 셰프 역할을합니다. 이러한 접근 방식은 모든 기술 수준의 화웨이 프로그래머가 더 나은 코드를 작성하고 잠재적인 취약점을 인식하는 동시에 화웨이의 보안 전문가가 정책을 준수하고 명령을 실행하는 데 도움이되는 "요리 책'을 만들 수 있도록 도울 수 있습니다.

Huawei의 문제에서 핵심 교훈은 프로그래머가 그들에 대해 알지 못하거나 단순히 좋은 코딩 관행을 따르는 방법을 모르는 경우 보안 코딩 지침을 만드는 것은 의미가 없다는 것입니다. 이 경우 내부 모범 사례 지침은 화웨이의 zhilaohu로 밝혀졌습니다. 서방이"종이 호랑이"라고부르는 것. 그것은 스타일이 많은 문서였지만 물질은 없었습니다. 실제 치아를 제공하려면 올바른 실용적인 도구와 실제 교육 프로그램이 필요하며, 이는 실습 적인 접근 방식을 취하고 지속적인 지식과 기술을 구축합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.